Herkes hala NIS-2'ye doğru yarışırken, siber güvenliğe ilişkin bir sonraki Avrupa yasal düzenlemesi şimdiden başlangıç aşamasında: Bu hafta, Avrupa Parlamentosu geleceğin “Dijital unsurlara sahip ürünler için yatay siber güvenlik gereksinimlerine ilişkin Yönetmelik” – veya Siber Dayanıklılık Yasası (kısaca CRA). Şimdi yasanın yürürlüğe girmesi için Konsey'den geçmesi gerekiyor.
Duyuru
Gelecekte CRA, dijital unsurlara sahip ürünler için siber güvenlik gereksinimlerini düzenleyecektir ve bu nedenle, esas olarak operasyonel siber güvenlikle ilgilenen NIS-2'yi tamamlayıcı bir düzenleme olarak görülebilir. Aralık 2023'te CRA ile ilgili siyasi bir anlaşmaya varıldıktan sonra, siber güvenlikle ilgili en son AB mevzuatının Haziran ayında yapılacak Avrupa Parlamentosu seçimlerine kadar zamanında kabul edilip edilmeyeceği 2024'ün başında hâlâ şüpheliydi. CRA'nın kabul edilmesiyle Avrupa Birliği, ürün siber güvenliğinin gelecekte AB iç pazarındaki ekonomik faaliyetlerin geliştirilmesi için merkezi bir gereklilik olacağını açıkça ortaya koyuyor.
BSI'nin mi yoksa BNetzA'nın mı başkanı?
CRA bir düzenleme olduğundan, NIS-2'den farklı olarak tüm Avrupa Üye Devletlerinde doğrudan uygulanır, dolayısıyla ulusal bir uygulama kanununa gerek yoktur. Şu anda Almanya'da CRA düzenlemelerini denetlemekten hangi makamın sorumlu olacağı belli değil. Federal Bilgi Güvencesi Dairesi'nin (BSI) yanı sıra Federal Ağ Ajansı'na (BNetzA) yönelik yeni bir sorumluluk da tartışılıyor. Kapsamında CRA, amaçlanan veya makul olarak öngörülebilir kullanımı bir cihaza veya ağa doğrudan veya dolaylı mantıksal veya fiziksel veri bağlantısını içeren dijital öğeler içeren tüm ürünlere uygulanacaktır.
Bu, yazılım veya donanım ürünleri ve ilgili bulut çözümlerinin yanı sıra ayrı olarak satılan yazılım ve donanım bileşenleri için de geçerlidir. Temelde B2B ve B2C uygulamaları arasında ayrım yapmayan bu geniş kapsam göz önüne alındığında, CRA'nın tüm sektörlerde dijital unsurlar içeren önemli sayıda ürünü kapsayacağı zaten varsayılabilir.
CRA ayrıca “Tasarım Yoluyla Güvenlik” ilkesini ilk kez Avrupa teknoloji mevzuatına dahil ediyor. Gelecekte, dijital unsurlara sahip bir ürünün yalnızca pazara girişte CRA uyumluluğunu sağlamak artık yeterli olmayacak, ancak sürekli bir risk değerlendirmesinin yapılması gerekecek. Yüksek riskli yapay zeka sistemlerine ilişkin gelecekteki Yapay Zeka Yasası gibi diğer AB yasal düzenlemelerine de atıfta bulunulacaktır. CRA'nın düzenleyici gereklilikleri, uygulanacak siber güvenlik gereklilikleri, kullanıcılara sağlanacak bilgi ve talimatlar, dijital unsurlara sahip ürünlerin farklı kritiklik sınıflarına yönelik gereklilikler, AB uygunluk beyanı ve AB uygunluk beyanına ilişkin çeşitli eklerde belirtilmiştir. değerlendirme prosedürleri ve gereksinimleri ürün belgelerinde oluşturulmalıdır. Daha fazla CRA spesifikasyonu, Avrupa Komisyonu'nun yetkilendirilmiş yasal düzenlemeleri ve teknik açıklamaları aracılığıyla sağlanabilir; Paydaşların da dahil edilmesi gerekiyor.
Açık kaynak iyileştirmeleri
Yasal süreçte açık kaynak camiasından gelen ciddi eleştirilerin ardından açık kaynak ekosistemine zarar vermeyecek şekilde çok sayıda alan istisnası da dahil olmak üzere kapsamlı iyileştirmeler yapıldı. Ancak geliştiricilerin özellikle yeni “açık kaynak yazılım yöneticileri” ve açık kaynak bileşenlerinin güvenlik açığı yönetimine ilişkin düzenlemelere dikkat etmesi gerekiyor.
CRA yükümlülüklerinden etkilenen iş grupları başlangıçta üreticilerdir, fakat aynı zamanda ithalatçılar ve tüccarlardır, dolayısıyla düzenleme (dijital) tedarik zincirini AB iç pazarı için temel bir koruma aracı olarak ele almaktadır. Gereksinimler, bir yandan dijital unsurlara sahip ürünlerin tasarımı, geliştirilmesi, üretimi, teslimatı ve bakımına yönelik risk değerlendirmesini, diğer yandan da siber güvenlik risklerinin raporlama yükümlülüklerini ve yönetim güvenlik açıkları ve yamalarını ilgilendiriyor. Gelecekte üreticiler ve endüstri birlikleri, ürünlerinin tipik, endüstri standardı ömrünü belirlemek zorunda kalacak: CRA'ya göre prensipte bu en az beş yıl. Yasal düzenleme halihazırda piyasada bulunan ürünler için geçiş hükümleri sağlamaktadır. Bu Yönetmeliğin yürürlüğe girdiği tarihten itibaren 36 ay içinde piyasaya sürülen ürünler, raporlama gereklilikleri dışında, söz konusu ürünlerin o tarihten bu yana önemli değişikliklere uğraması durumunda, CRA gerekliliklerine tabidir.
İhlallere ilişkin cezalar, halihazırda bilinen grup kurallarına dayanmaktadır: İhlaller için 15 milyon Euro'ya kadar veya bir önceki mali yılın toplam küresel yıllık cirosunun %2,5'ine kadar para cezaları mümkündür. İlgili aktörler için uygulama süresi genellikle CRA'nın yürürlüğe girmesinden itibaren 36 aydır.
(fo)
Haberin Sonu
Duyuru
Gelecekte CRA, dijital unsurlara sahip ürünler için siber güvenlik gereksinimlerini düzenleyecektir ve bu nedenle, esas olarak operasyonel siber güvenlikle ilgilenen NIS-2'yi tamamlayıcı bir düzenleme olarak görülebilir. Aralık 2023'te CRA ile ilgili siyasi bir anlaşmaya varıldıktan sonra, siber güvenlikle ilgili en son AB mevzuatının Haziran ayında yapılacak Avrupa Parlamentosu seçimlerine kadar zamanında kabul edilip edilmeyeceği 2024'ün başında hâlâ şüpheliydi. CRA'nın kabul edilmesiyle Avrupa Birliği, ürün siber güvenliğinin gelecekte AB iç pazarındaki ekonomik faaliyetlerin geliştirilmesi için merkezi bir gereklilik olacağını açıkça ortaya koyuyor.
BSI'nin mi yoksa BNetzA'nın mı başkanı?
CRA bir düzenleme olduğundan, NIS-2'den farklı olarak tüm Avrupa Üye Devletlerinde doğrudan uygulanır, dolayısıyla ulusal bir uygulama kanununa gerek yoktur. Şu anda Almanya'da CRA düzenlemelerini denetlemekten hangi makamın sorumlu olacağı belli değil. Federal Bilgi Güvencesi Dairesi'nin (BSI) yanı sıra Federal Ağ Ajansı'na (BNetzA) yönelik yeni bir sorumluluk da tartışılıyor. Kapsamında CRA, amaçlanan veya makul olarak öngörülebilir kullanımı bir cihaza veya ağa doğrudan veya dolaylı mantıksal veya fiziksel veri bağlantısını içeren dijital öğeler içeren tüm ürünlere uygulanacaktır.
Bu, yazılım veya donanım ürünleri ve ilgili bulut çözümlerinin yanı sıra ayrı olarak satılan yazılım ve donanım bileşenleri için de geçerlidir. Temelde B2B ve B2C uygulamaları arasında ayrım yapmayan bu geniş kapsam göz önüne alındığında, CRA'nın tüm sektörlerde dijital unsurlar içeren önemli sayıda ürünü kapsayacağı zaten varsayılabilir.
CRA ayrıca “Tasarım Yoluyla Güvenlik” ilkesini ilk kez Avrupa teknoloji mevzuatına dahil ediyor. Gelecekte, dijital unsurlara sahip bir ürünün yalnızca pazara girişte CRA uyumluluğunu sağlamak artık yeterli olmayacak, ancak sürekli bir risk değerlendirmesinin yapılması gerekecek. Yüksek riskli yapay zeka sistemlerine ilişkin gelecekteki Yapay Zeka Yasası gibi diğer AB yasal düzenlemelerine de atıfta bulunulacaktır. CRA'nın düzenleyici gereklilikleri, uygulanacak siber güvenlik gereklilikleri, kullanıcılara sağlanacak bilgi ve talimatlar, dijital unsurlara sahip ürünlerin farklı kritiklik sınıflarına yönelik gereklilikler, AB uygunluk beyanı ve AB uygunluk beyanına ilişkin çeşitli eklerde belirtilmiştir. değerlendirme prosedürleri ve gereksinimleri ürün belgelerinde oluşturulmalıdır. Daha fazla CRA spesifikasyonu, Avrupa Komisyonu'nun yetkilendirilmiş yasal düzenlemeleri ve teknik açıklamaları aracılığıyla sağlanabilir; Paydaşların da dahil edilmesi gerekiyor.
Açık kaynak iyileştirmeleri
Yasal süreçte açık kaynak camiasından gelen ciddi eleştirilerin ardından açık kaynak ekosistemine zarar vermeyecek şekilde çok sayıda alan istisnası da dahil olmak üzere kapsamlı iyileştirmeler yapıldı. Ancak geliştiricilerin özellikle yeni “açık kaynak yazılım yöneticileri” ve açık kaynak bileşenlerinin güvenlik açığı yönetimine ilişkin düzenlemelere dikkat etmesi gerekiyor.
CRA yükümlülüklerinden etkilenen iş grupları başlangıçta üreticilerdir, fakat aynı zamanda ithalatçılar ve tüccarlardır, dolayısıyla düzenleme (dijital) tedarik zincirini AB iç pazarı için temel bir koruma aracı olarak ele almaktadır. Gereksinimler, bir yandan dijital unsurlara sahip ürünlerin tasarımı, geliştirilmesi, üretimi, teslimatı ve bakımına yönelik risk değerlendirmesini, diğer yandan da siber güvenlik risklerinin raporlama yükümlülüklerini ve yönetim güvenlik açıkları ve yamalarını ilgilendiriyor. Gelecekte üreticiler ve endüstri birlikleri, ürünlerinin tipik, endüstri standardı ömrünü belirlemek zorunda kalacak: CRA'ya göre prensipte bu en az beş yıl. Yasal düzenleme halihazırda piyasada bulunan ürünler için geçiş hükümleri sağlamaktadır. Bu Yönetmeliğin yürürlüğe girdiği tarihten itibaren 36 ay içinde piyasaya sürülen ürünler, raporlama gereklilikleri dışında, söz konusu ürünlerin o tarihten bu yana önemli değişikliklere uğraması durumunda, CRA gerekliliklerine tabidir.
İhlallere ilişkin cezalar, halihazırda bilinen grup kurallarına dayanmaktadır: İhlaller için 15 milyon Euro'ya kadar veya bir önceki mali yılın toplam küresel yıllık cirosunun %2,5'ine kadar para cezaları mümkündür. İlgili aktörler için uygulama süresi genellikle CRA'nın yürürlüğe girmesinden itibaren 36 aydır.
(fo)
Haberin Sonu